A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em agosto de 2020. Agora, empresas de todos os segmentos são obrigadas a repensarem a forma como tratam e armazenam os dados pessoais dos seus clientes, fornecedores e empregados, de modo a garantirem conformidade.

Para quem está em dúvida sobre como a nova lei pode afetar sua empresa, o Núcleo de Acesso ao Crédito (NAC) explica as principais diretrizes da LGPD e o que você precisa fazer para se adequar.

O que é a Lei Geral de Proteção de Dados?

É a nova lei que protege os dados pessoais dos indivíduos. Aprovada em agosto de 2018 (Lei n° 13.709), a legislação definiu dados pessoais como qualquer informação relacionada à pessoa natural identificada ou identificável. Isso inclui dados como nome, e-mail, número do RG e do CPF, origem racial ou étnica, convicções religiosas e opiniões políticas.

Em suma, a LGPD tem como objetivo proteger os dados do cidadão e dar a ele maior controle sobre a coleta e utilização das suas informações.

Para isso, a lei estabelece as hipóteses em que o tratamento dos dados poderá ser feito, como por exemplo, mediante consentimento do titular das informações ou para o cumprimento de uma obrigação legal. Ao tratar dados pessoais, a empresa deve deixar clara a finalidade do uso dessas informações.

Além disso, a LGPD determina que a empresa que faz o uso dos dados será responsabilizada em caso de violações de segurança que comprometam a privacidade dos indivíduos.

A LGPD se aplica a todas as empresas de todos os setores da economia que realizem o tratamento de dados pessoais, independentemente do meio (físico ou digital), do país de sua sede ou do país onde estejam localizados os dados.

Direitos do titular dos dados estabelecidos pela LGPD

A LGPD prevê um conjunto de direitos aos titulares de dados pessoais, sempre com o objetivo de garantir os direitos fundamentais de liberdade, intimidade e de privacidade, como por exemplo:

• Saber que seus dados pessoais são ou serão tratados;
• Obter acesso facilitado aos seus dados pessoais tratados pela organização;
• Corrigir seus dados pessoais, quando incompletos, inexatos ou desatualizados;
• Ter seus dados anonimizados, bloqueados ou eliminados, quando desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Realizar a portabilidade dos seus dados pessoais para outra organização fornecedora do produto ou serviço.

Como se adequar à LGPD: as mudanças impostas pela lei

A LGPD impõe que a empresa que realize tratamento de dados realize um processo de adequação dos seus processos e procedimentos, no intuito de garantir que os dados pessoais sejam tratados adequadamente.

Os seguintes passos são sugestões para uma abordagem de adequação:

1. Analisar de que forma a organização é impactada pela LGPD: como, por que, e quais categorias de dados pessoais são tratadas pela organização;
2. Analisar e documentar as bases legais para o tratamento de dados;
3. Obter os consentimentos necessários, se for o caso;
4. Revisar e detalhar a política de privacidade da empresa;
5. Definir e documentar as bases legais das transferências internacionais de dados, se for o caso;
6. Adaptar os canais de comunicação e a política e os processos internos destinados a atender os direitos dos titulares;
7. Designar o encarregado de proteção de dados;
8. Revisar os acordos e contratos da organização impactados pela LGPD;
9. Desenhar e implementar as medidas necessárias para garantir a segurança dos dados;
10. Implementar políticas e procedimentos para lidar com a ocorrência de eventuais incidentes;
11. Identificar os possíveis riscos no tratamento de dados, de modo que as medidas necessárias para os reduzir sejam identificadas e implementadas.

Multas e penalidades previstas na LGPD

A partir de agosto de 2021, caso não cumpram algum dos novos requisitos da lei, as empresas poderão sofrer as seguintes sanções administrativas:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais correspondentes à infração até a sua regularização;
• Eliminação dos dados pessoais correspondentes à infração;
• Multas de até R$ 50 milhões ou até 2% do faturamento anual da empresa (o que for maior), para infrações graves, como vazamento dos dados ou não coleta do consentimento.

Até lá, como a lei já está em vigor, titulares de dados podem buscar o cumprimento da lei ou a reparação de eventuais danos sofridos junto ao Poder Judiciário. Por isso, comece a tomar as medidas listadas acima o quanto antes.